GDPR terá impactos sobre auditorias brasileiras

Nova regulação europeia para proteção de dados exige importantes adaptações

Contabilidade e Auditoria/Artigo / 6 de julho de 2018
Por     /    Versão para impressão Versão para impressão


Nancy Bittar*/ Ilustração: Julia Padula

Numa era de big data e internet das coisas, proteger dados pessoais por meio de controles de segurança e do incentivo a uma consciência legal representa um desafio crescente. Nesse cenário, a coleta de dados pode significar tanto um valor quanto um risco. Diz a Constituição Federal brasileira que a privacidade e a proteção de dados são direitos fundamentais. O Código Civil, o Código de Defesa do Consumidor e a Lei da Internet completam o rol dos estatutos mais proeminentes a reger a questão no País. A tão aguardada aprovação do anteprojeto de lei de proteção de dados pessoais, debatido no Congresso há pelo menos oito anos, enfim dá fortes sinais de que o tema recebe a merecida importância — ganhou o aval dos deputados e da Comissão de Assuntos Econômicos do Senado, seguiu para apreciação do plenário do Senado em regime de urgência e pode ser votado ainda neste início de julho. A mudança é impulsionada pela nova regra europeia de proteção de dados, a GDPR (General Data Protection Regulation), que se tornou efetiva no último mês de maio.

A GDPR prevê novas obrigações para as empresas que coletam ou processam dados pessoais, estejam ou não sediadas em território europeu. Fica proibida a transferência de dados entre sociedades europeias e estrangeiras, salvo se atendidas condições da nova regulamentação. O alcance internacional foi uma das diretrizes fundamentais para a elaboração da lei europeia.

Para os auditores internos, o tema proteção de dados pessoais deve ser incorporado ao cotidiano — e com grandes chances de entrar no planejamento anual, dado o aumento dos riscos a ele relacionados. Se a empresa auditada estiver no escopo da GDPR, tem-se um caráter de urgência. Mas, independentemente do tipo de negócio sob auditoria, sempre haverá dados pessoais em posse da empresa, clientes sedentos por privacidade e ameaça de vazamento de dados, que tem consequências às vezes tão impactantes que se tornam imensuráveis.

A auditoria deve deixar o cliente ciente de que, dentro ou fora da Europa, pode estar sujeito a multa que pode atingir 4% do volume de negócios global anual da empresa ou 20 milhões de euros, o que for maior. Assim, cabem dicas práticas, como verificar se o negócio auditado está sob as regras da GDPR (talvez com ajuda jurídica especializada) e analisar o compliance sob a luz dos itens mandatórios e recomendáveis das legislações local e internacional.

Se a operação estiver sujeita à nova lei europeia, um data protection officer (DPO) deve estar nomeado no Brasil, para ser o contato da auditoria interna para muitas questões. Além disso, é necessário que a empresa tenha um procedimento para regrar princípios básicos de dados pessoais: proporcionalidade, finalidade, transparência, necessidade, qualidade de dados, confidencialidade e segurança. Todos devem ser explorados e permeados na rotina da empresa. Vale lembrar que dados secretos — como os relacionados a saúde, a biometria e a menores de idade — requerem proteção extra.

O privacy impact assessment (PIA), ferramenta aplicável em qualquer organização, permite identificação, análise e mitigação dos riscos de privacidade em processos, políticas e até mesmo em novos projetos. Esse certamente é um instrumento que os auditores devem conhecer. Pode ser o caminho para identificação de pontos críticos dentro da empresa, por mostrar que além das áreas típicas de folha de pagamento e pós-vendas, novos processos, como o marketing digital, requerem um novo olhar sob a perspectiva de proteção de dados. É também recomendável a criação de canal para que os empregados esclareçam dúvidas e informem tratamentos indevidos ou vazamentos.

Mesmo para quem estiver fora do alcance da GDPR, um alerta: o Ministério Público está cada vez mais atuante. Muitos escândalos de tratamento indevido de dados pessoais já são destaques na mídia, e as empresas que não investirem em medidas de controle não devem ter suas punições atenuadas. Ainda cabe lembrar que existe a expectativa de que a lei nacional de proteção de dados passe a vigorar já em 2020, com exigências, princípios e sanções semelhantes às da GDPR. O novo contexto demanda investimentos em controles e capacitação de profissionais, que devem ser acompanhados de perto pelos departamentos de auditoria interna.


*Nancy Bittar (nancy.bittar@iiabrasil.org.br) é presidente do comitê de ética do Instituto dos Auditores Internos do Brasil e data protection officer da Volkswagen no País


Leia também

Facebook e GDPR inflamam debate sobre privacidade de dados

O impacto da GDPR nas empresas

Ressaca de dados e o relógio do juízo final




Participe da Capital Aberto:  Assine Anuncie


Tags:  regulamentação Auditoria digital Privacidade. GDPR dados Encontrou algum erro? Envie um e-mail



Matéria anterior
Lewandowski proíbe privatização de estatais sem consulta ao Legislativo
Próxima matéria
Private equity busca novas práticas após Greenfield



1 comentário

Jul 12, 2018

Ótimo artigo, com informações interessantes e esclarecedoras quanto à GDPR e sua importância relacionada às auditorias e seu impacto para com os auditores.



Escreva o seu comentário sobre este texto!

O seu endereço de e-mail não será publicado.



Recomendado para você





Leia também
Lewandowski proíbe privatização de estatais sem consulta ao Legislativo
Na quarta-feira, 27, em decisão liminar e individual, o ministro do Supremo Tribunal Federal (STF) Ricardo Lewandowski...